I cyber criminali vanno a nozze con l’installer di Fortnite per Android: sotto accusa l’azzardo di Epic

Edoardo Carlo Ceretti La sicurezza è il nuovo pomo della discordia fra Epic Games e Google, ma a farne le spese possono esserne gli utenti.

Lo strappo consumatosi fra Epic Games e Google per Fortnite è noto a tutti. La software house ha infatti deciso di sottrarsi al Play Store e distribuire il suo gioco campione di incassi per conto proprio. Il motivo, mai nascosto da Epic, va ricercato nella volontà di tenersi tutti i ricavi del gioco per sé, non dovendo pagare l’alta percentuale richiesta da Google per le app ospitate sul Play Store. Così facendo però, Fortnite per Android espone i propri utenti a rischi molto più alti in termini di cyber sicurezza. E i timori paventati da molti, si sono preso avverati.

Per essere installato su uno smartphone Android, Fortnite richiede preliminarmente l’installazione di un apposito installer, da cui poi far partire il download del gioco effettivo dai server di Epic. Distribuire un installer fuori dal Play Store è una prassi pericolosa, in quanto aumenta di molto il rischio per utenti sprovveduti, che potrebbero non scaricarlo dal sito ufficiale di Epic, bensì dal primo link malevolo su cui si imbattono sul web. Inoltre, l’installer non è protetto da tutta quella serie di controlli presenti sul Play Store che, pur non infallibili, sono comunque più efficaci dell’assenza totale degli stessi.

LEGGI ANCHE: Fortnite V5.30: arriva l’oggetto Fenditura Portatile

Ed ecco infatti che Google stessa ha quasi immediatamente scoperto una grave vulnerabilità nell’installer di Fortnite, che potenzialmente consentiva ad altri malware di avere accesso al dispositivo degli ignari videogiocatori, tramite una tipologia di attacco informatico conosciuta come man-in-the-disk. Big G ha subito informato privatamente Epic Games, che ha tempestivamente chiuso la falla, per poi rendere pubblica la notizia.

Al momento dunque, se il vostro installer è aggiornato alla versione 2.1.0 o successiva, non avete più da temere questa specifica vulnerabilità. Epic però non ha preso bene la decisione di Google di parlare apertamente della scoperta, in quanto molti utenti potrebbero ancora avere installato sul proprio dispositivo una versione datata e dunque vulnerabile. Se effettivamente si può discutere della opportunità dell’iniziativa di Google, Epic dovrebbe altrettanto fare mea culpa e riflettere sulla sua condotta che sì, si rivelerà più remunerativa, ma a spese anche della sicurezza dei suoi stessi utenti. L’augurio è che Epic prenda sul serio la questione e lavori con maggiore impegno per controllare periodicamente l’esistenza di possibili falle sul suo installer.

Via: Android CentralFonte: Google Issue Tracker